IoT privénetwerk opzetten

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Thomias
Starter
Starter
Berichten: 7
Lid geworden op: 18 dec 2018, 22:09
Uitgedeelde bedankjes: 4 keer

Hallo,

Om veiligheidsredenen had ik gedacht een privénetwerk op te zetten om al mijn smart plugs in te stoppen (lees goedkope Chinese WiFi stekkerdozen). Ik zit bij Scarlet en experimenteer met een router achter de BBOX3 , zie hier http://userbase.be/forum/viewtopic.php?f=48&t=54398

Maar hoe zouden jullie het aanpakken? Momenteel heb ik enkel deze router in huis https://www.gl-inet.com/products/gl-ar750/ die openwrt draait. Maar ik heb ook zitten denken aan het opzetten van een VLAN (TP-LINK TL-SG105E in combi met TP-LINK TL-wa901nd) OF een constructie via een Ubiquiti Networks USG en Ubiquiti Networks UAP-AC-LITE. Maar dat laatste is nogal prijzig voor een kudde domme iot apparaten.

Ik zou dus 2 subnetten willen. Nu heb ik bijv bbox3 => 192.168.1.0 en openwrt => 192.168.2.0. De google Home Mini en Google Home App vallen onder het netwerk van de bbox3. Alle domme aparaten wil ik bereikbaar zien binnen het thuisnetwerk en aanstuurbaar via de GHM en de GHA. Ze mogen echter niet aan het internet kunnen.

Hoe zouden jullie dat bolwerken? Ik vind bij het doorlezen heel wat aanzetten en richtingen maar nooit het gehele plaatje. Zijn er mensen die al gelukt zijn in dit opzet? Die hun ervaringen willen delen?
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

ik gebruik een servertje met opnsense op (firewall distributie).
die doet mijn pppoe sessie, is mijn firewall, en doet mijn vlans.

het hele "untrusted chinese vlan" is gewoon geblockt naar internet toe :)

enige wat je nodig hebt is een pc die 24/7 mag aanstaan en 2 netwerkpoorten heeft: 1tje van de modem en 1tje naar je switch
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2958
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 285 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Splitter schreef:het hele "untrusted chinese vlan" is gewoon geblockt naar internet toe :)
Dat geeft soms problemen naar de werking. Die stekkers in den Aldi die je via WiFi kan schakelen moeten kunnen verbinden met een NTP-server, anders werken ze niet...
Computer(k)nul
charlez
Pro Member
Pro Member
Berichten: 312
Lid geworden op: 13 apr 2017, 08:02
Uitgedeelde bedankjes: 6 keer
Bedankt: 24 keer

Modbreak:
volcitaat uit vorige post verwijderd
Sinna schreef:
Splitter schreef:het hele "untrusted chinese vlan" is gewoon geblockt naar internet toe :)
Dat geeft soms problemen naar de werking. Die stekkers in den Aldi die je via WiFi kan schakelen moeten kunnen verbinden met een NTP-server, anders werken ze niet...
Dan zet je enkel ntp open op je firewall...
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2958
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 285 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Inderdaad. Da's ook de manier waarop ik het gedaan heb.
Ik wilde enkel aangeven dat alles dichtdraaien soms nare neveneffecten kan hebben.
Computer(k)nul
Thomias
Starter
Starter
Berichten: 7
Lid geworden op: 18 dec 2018, 22:09
Uitgedeelde bedankjes: 4 keer

Ok fijn,

bedankt voor jullie reacties maar hoe hebben jullie dat in detail gebolwerkt? Zou fijn zijn een soort stappenplan te hebben... .
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2958
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 285 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Niet met een OpenWRT-router hoewel dat perfect zou moeten kunnen, wellicht wel met wat iptable-rules.
Computer(k)nul
Thomias
Starter
Starter
Berichten: 7
Lid geworden op: 18 dec 2018, 22:09
Uitgedeelde bedankjes: 4 keer

Hoe heb je het dan wel gedaan?

Kan ik eigenlijk via de bbox 3 een route leggen naar het ander subnet? Sommige zeggen van wel, anderen van niet?
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Pfsense of opnsense router en vlans (opgelet: met vlans moeten ook je switchen vlan capable zijn.
Het leuke aan die dingen is dat ze echte firewalls zijn, en je dus traffic in en uit kan filteren, ook tussen vlans.

Met wifi toestanden steek je ook een wifi apart op een vlan, desnoods met prosumer apparatuur zoals edimax pro of unifi die meerdere ssids in meerdere vlans kunnen uitzenden.
Qua NTP server: dat kan je desnoods zelf snel opzetten, of idd gewoon doorlaten.

Ik zou de bbox opgeven, maar als je hem wil kunnen gebruiken moet je hem een static route kunnen geven.
Thomias
Starter
Starter
Berichten: 7
Lid geworden op: 18 dec 2018, 22:09
Uitgedeelde bedankjes: 4 keer

Ok al wat dagen verder en alles werkt zoals ik het wil :banana:

Alleen rest nog de vraag: ik klooi nu wat met Home Assistant. Ik zou een poort willen openkrijgen op Scarlet BBox 3. Dus via de interface, port mapping, blablabla. Maar die doet dus geen reet.

Is het bij iemand reeds gelukt een poort open te zetten?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Thomias schreef:Ik zou dus 2 subnetten willen.
Als je echt geen vertrouwen hebt in die dingen dan heeft een apart subnet weinig zin... wel een aparte VLAN.
Plaats reactie

Terug naar “Netwerken en Security”